В продолжение поста Сергея:
Повышаем привелегии в системе при помощи ViPNet Client или уязвимость CVE-2013-3496
Повышаем привелегии в системе при помощи ViPNet Client или уязвимость CVE-2013-3496
Friday, July 19, 2013
Subscribe to:
Post Comments (Atom)
1 comment:
Расскажу историю об этой уязвимости.
Я не работаю в Windows под админом. Каково же было мое удивление, когда после инсталляции продукта я обнаружил, что все клиентские файлы Деловая почта хранит в "Program Files". Поскольку я не админ, очевидно, что _после инсталляции_ я получил возможность туда писать. Посмотрев права на папку я с ужасом заметил Everyone ну и, конечно, исправил проблему, оставив права на запись только своей учетке.
Появившегося пользователя в Админах удалил со словами "ибо нефиг".
Указанный ivpsrv.exe не нужен для работы Деловой почты, поэтому такое удаление не повлияло на работу.
Post a Comment